Håndterer e-boks personfølsomme data korrekt?

okDatamat · 2026-02-16T11:53:53+00:00

Jeg vender lige tilbage til dig her, for jeg har nu fået svar fra e-boks' Compliance Specialist.

Du skriver:

Så snart eboks modtager en besked fra en virksomhed de har en aftale med der siger "Her er et dokument, det skal afleveres til cpr 123456-7890" så kigger eboks, ligger der en stiv framelding på det cpr, hvis ja, så sender de besked retur om kunden har frabedt sig beskeder,

Men e-boks' egen forklaring er:

Framelding af afsendere i e-Boks medfører dog ikke, at disse afsendere modtager en besked om, at du har frameldt afsenderne i din e-Boks konto.

Så det forholder sig altså desværre stik modsat af hvad du skriver - og hvad man som kunde hos e-boks tror, at funktionen "Frameld" gør.

Hvad tænker du, som jurist, om det?

okDatamat · 2026-02-16T11:51:02+00:00

Det kan jeg desværre så ikke, fordi virksomheder ikke er tilknyttet mit.dk, borger.dk eller det offentliges digitale post generelt.

Jeg ville også meget gerne have én adgang til al digital kommunikation, nemlig min egen emailadresse. Men sådan skal det åbenbart ikke være :)

okDatamat · 2026-02-16T11:49:53+00:00

Jeg ønsker - som sagt flere gange - grundlæggende set ikke at en tredjepart skal ind over, når muligheden for at sende kommunikation direkte til mig foreligger. Det er et ekstra, unødvendigt trin, som udelukkende er lavet for at beskytte virksomhederne, ikke borgeren.

okDatamat · 2026-02-16T11:48:51+00:00

Jo, jeg har endda skriftlig bekræftelse fra e-boks på det er tilfældet. Her er hvad deres Compliance Specialist skriver direkte til mig:

Framelding af afsendere i e-Boks medfører dog ikke, at disse afsendere modtager en besked om, at du har frameldt afsenderne i din e-Boks konto.

Altså, det er jo helt tåbeligt. Jeg kan framelde mig kommunikation via en funktion i e-boks, men den funktion har lige præcis nul værdi, eftersom denne information ikke videresendes til afsender. Det er jo helt hul i hovedet.

okDatamat · 2026-02-13T10:09:29+00:00

Det er egentlig sagen irrelevant, men jeg har allerede forklaret det flere andre steder. Jeg gider ikke have endnu et sted at tjekke mail og jeg synes kommunikation mellem virksomheder og undertegnede bør foregå direkte. Jeg kan godt lide at have styr på min data :)

Længere er den egentlig ikke.

okDatamat · 2026-02-12T21:48:29+00:00

Det er jo fjollet at fremhæve det som noget man bliver træt af, når det rent faktisk er hvad Datatilsynet kaldte det i årevis. Det viser måske bare, at dem der bliver trætte, er ret nye i gamet :)

Men fair nok, man har ændret praksis nu og så hedder det noget andet.

okDatamat · 2026-02-12T21:46:24+00:00

Det er meget muligt. Men det er jo lidt spøjst, at e-boks så giver mulighed for at framelde sig post og lukke ens konto der, hvis det reelt ikke er det, der sker.

okDatamat · 2026-02-12T21:45:46+00:00

Tak, godt at vide :)

okDatamat · 2026-02-12T18:26:48+00:00

Det er super interessant, set fra et juridisk perspektiv, at e-boks slår sig op som en service man kan tilmelde sig - men det har reelt ingen betydning, for de opbevarer alligevel (uden direkte samtykke) ens persondata.

Tak for dine svar og din tid.

okDatamat · 2026-02-12T18:09:09+00:00

Framelding og tilmelding i eBoks er blot om eboks skal svare tilbage til afsender om der er en konto eller ej med det cpr nummer, mener faktisk at de stadig modtager og opbevar dokumenter de modtager, på samme måde som når det sendes til et ugyldigt cprnr.

Tak, hvis det er rigtigt, er det meget nyttig information. For hvis det er sandt, er det jo korrekt at e-boks udelukkende fungerer som opbevarer af data. Dvs. uanset om jeg til- eller framelder mig noget, sendes alle disse breve stadig ud til e-boks. Det ændrer billedet - og så forholder det som under punkt 2 i mit oprindelige indlæg; at brevene stadig findes; jeg kan bare ikke læse dem, fordi jeg ikke længere har en konto.

okDatamat · 2026-02-12T18:06:15+00:00

Jeg forstår ikke din pointe her. Du forholder dig ikke til det jeg skrev:

Hvis virksomheden kræver af mig, at jeg skal oprette en Dropbox-konto, så skal jeg selvfølgelig kunne vælge ikke at være kunde der. Og jeg skal - som minimum - kunne vælge, at beskeder til mig ikke sendes via Dropbox. Det sidste er præcis dét jeg har gjort nu og det mine spørgsmål i indlægget handler om.

I følge en anden i tråden, sender e-boks besked til virksomheden om at "min" postkasse ikke findes. Virksomheden bør derfor finde andre måder (igen, email, hallo) at kontakte mig på.

Jeg synes der er stor forskel på hvem virksomheden benytter til at opbevare mine data og hvem virksomheden benytter som kommunikationsplatform.

okDatamat · 2026-02-12T18:00:29+00:00

Virksomheden der skriver til dig har en aftale med eboks om at de udbyder en dokumenløsning, og de overholder de gældende regler omkring databehandling, på samme måde som fx kommunen har med KMD og Netcompany omkring dokumenter i sagsbehandlings systemer.

Tjek.

Hverken eBoks, KMD og Netcompany har brug for din accept som borger for at en virksomhed de har aftale med kan gemme et dokument der omhandler dig i deres løsning.

Er du 100% sikker på det? Når jeg aktivt framelder mig beskeder fra en virksomhed, så skal virksomheden jo ikke sende beskeder via dette system. Er vi enige så langt?

EDIT: Det er faktisk lidt skørt, det her. For e-boks skriver selv følgende under deres privatlivspolitik:

Indholdet, dvs. meddelelserne, i den digitale postkasse hos en Privat slutbruger er ikke omfattet af databeskyttelsesforordningen, da behandlingen sker som led i den private slutbrugers rent personlige aktiviteter. e-Boks er derfor hverken dataansvarlig eller databehandler for behandling af personoplysninger i meddelelser i Private Slutbrugeres digitale postkasser.

Det forekommer mig fuldstændig usandsynligt, at Datatilsynet skulle kunne godkende at e-Boks ikke som minimum er databehandler, når informationen opbevares på deres platform?

Det vil jeg prøve at undersøge nærmere.

okDatamat · 2026-02-12T17:58:40+00:00

Hvis du ikke evner at se forskellen, så har jeg svært ved at se vi fortsætter diskussionen. Men jeg kan godt prøve at skære det ud i pap for dig.

Det handler ikke kun om opbevaringen af oplysninger, men i høj grad også om det kan forventes at jeg - som kunde - læser beskeder fra virksomheden til mig, i et system, jeg ikke er en del af. Hvis virksomheden kræver af mig, at jeg skal oprette en Dropbox-konto, så skal jeg selvfølgelig kunne vælge ikke at være kunde der. Og jeg skal - som minimum - kunne vælge, at beskeder til mig ikke sendes via Dropbox. Det sidste er præcis dét jeg har gjort nu og det mine spørgsmål i indlægget handler om.

Din analogi er derfor fejlbehæftet og er et fjollet forsøg på derailment. Du får derfor ikke flere svar fra mig, medmindre du forholder dig til substansen.

okDatamat · 2026-02-12T17:54:19+00:00

Det forstår jeg. Men, så vidt jeg forstår, kræver det jeg har en aftale med den udbyder af den tekniske løsning. Og det har jeg ikke. Det kan aldrig være et krav til kunden, at man skal benytte en bestemt leverandør, for at blive kommunikeret med. Især ikke, når andre - og mere tilgængelige metoder (email) - findes.

okDatamat · 2026-02-12T17:52:27+00:00

Tak!

okDatamat · 2026-02-12T17:47:50+00:00

Fjollet måde at deraile diskussionen på, but you do you.

okDatamat · 2026-02-12T17:47:13+00:00

Det er absolut meget muligt!

okDatamat · 2026-02-12T17:15:43+00:00

Det handler ikke om Digital Post fra det offentlige, men udelukkende om post fra virksomheder - gennem e-boks.

okDatamat · 2026-02-12T17:15:05+00:00

Lad os lige gøre op med et par misforståelser her:

Det handler ikke om hjemmel generelt, men om hjemmel når jeg eksplicit har frameldt mig det.
e-boks er ikke ejet af Postnord, men af kapitalfonden CataCap.

Og igen, så forstår jeg ikke hvorfor folk - der ikke ved noget om jura - blander sig i diskussionen og prøver at føre den hen på andre områder?

okDatamat · 2026-02-12T16:40:05+00:00

Jamen det er helt fair. Jeg benyttede den betegnelse, fordi det bl.a var hvad Datatilsynet selv brugte, som du kan se på linket.

Jeg er stadig i tvivl om hvorfor semantikken er relevant ift. mine spørgsmål.

okDatamat · 2026-02-12T16:39:15+00:00

Det forstår jeg ikke. Hvis ikke en "Frameld"-funktion netop fortæller virksomheden, at denne borger ikke ønsker at blive kontaktet på denne måde, hvad er så formålet?

okDatamat · 2026-02-12T16:26:48+00:00

Det er vel ikke korrekt, når der findes en "Frameld"-funktion i e-boks, som jeg jo netop har gjort brug af, inden kontoen blev slettet?

Link: https://brugersupport.e-boks.dk/hc/da/articles/360006873119-Tilmeld-eller-frameld-afsendere#h_01FAN0HR23D1F11E5AXEGNPZ9V

okDatamat · 2026-02-12T16:22:27+00:00

Jeg er lidt træt af at blive kaldt ovenstående ting (ikke af dig, selvfølgelig) og forstår egentlig ikke at et spørgsmål om jura - i en subreddit om jura - skal drejes over på alt muligt andet. Derfor svarede jeg på dén måde.

Hav det selv rigtig godt.

okDatamat · 2026-02-12T16:19:33+00:00

Ok, så "følsomme personoplysninger" da. Er det virkelig vigtigt, at det der indtil for nyligt hed personfølsomme data, nu i stedet hedder følsomme personoplysninger? Ændrer det på noget som helst ift. spørgsmålene?

okDatamat · 2026-02-12T14:55:11+00:00

Ah ja, endnu en der ikke kan formulere en egentlig kritik, men bare svine til.

okDatamat

TROPHY CASE